Adatkezelési tájékoztató

1. Bevezetés

A jelen Adatkezelési Tájékoztató (a továbbiakban: „Tájékoztató") célja, hogy az Európai Parlament és a Tanács (EU) 2016/679 rendeletének (a továbbiakban: „GDPR"), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek (a továbbiakban: „Infotv.") megfelelően átlátható és közérthető formában tájékoztassa az érintetteket a MyBooker időpontfoglaló alkalmazás (a továbbiakban: „Alkalmazás" vagy „MyBooker") működése során megvalósuló személyes adatkezelésről.

Az Alkalmazás célja, hogy szolgáltatók (pl. szépségszalonok, fodrászok, masszőrök, magánorvosok, oktatók, egyéb szolgáltatást nyújtó vállalkozások) számára online időpontfoglalási felületet biztosítson, ahol a végfelhasználók (vendégek) elektronikusan foglalhatnak időpontot a szolgáltatások igénybevételére.

2. Az adatkezelők

A MyBooker működése során két különálló adatkezelői szerepkör jelenik meg, amelyek külön-külön felelősek az általuk meghatározott adatkezelési műveletekért. A GDPR 26. cikke szerinti közös adatkezelés nem áll fenn; az adatkezelők egymástól függetlenül kezelik az alábbiakban részletezett adatköröket.

2.1. Az Alkalmazás üzemeltetője

Név: MADEO Korlátolt Felelősségű Társaság (MADEO Kft.)
Székhely: [SZÉKHELY CÍME – kérjük kitölteni]
Cégjegyzékszám: [CÉGJEGYZÉKSZÁM]
Adószám: [ADÓSZÁM]
E-mail: vrana.zoltan@gmail.com
Képviselő: [KÉPVISELŐ NEVE]

A MADEO Kft. (a továbbiakban: „Üzemeltető") az Alkalmazás technológiai szolgáltatójaként a Szolgáltatók regisztrációs adatainak, fiókkezelésének, számlázási adatainak és az Alkalmazás működtetéséhez szükséges naplóadatoknak az önálló adatkezelője. A Szolgáltató által rögzített vendég-adatok vonatkozásában a MADEO Kft. adatfeldolgozóként jár el, a Szolgáltató utasításai szerint.

2.2. A Szolgáltató (az Alkalmazást használó vállalkozás)

A jelen Tájékoztató alkalmazásában „Szolgáltató" alatt azt a vállalkozást (egyéni vállalkozót, gazdasági társaságot, egyéb szervezetet) értjük, aki az Alkalmazásban előfizetőként regisztrált, és a saját ügyfelei (vendégei) részére online időpontfoglalási lehetőséget biztosít a MyBookeren keresztül.

A Szolgáltató önálló adatkezelőként felelős a saját vendégei személyes adatainak (név, telefonszám, e-mail-cím, foglalási adatok, megjegyzések, esetleges egészségügyi vagy egyéb különleges adatok) jogszerű kezeléséért, beleértve az érintettek tájékoztatását, a jogalap meghatározását és az érintetti jogok érvényesítését.

A Szolgáltató konkrét adatkezelői adatait (név, székhely, kapcsolattartási e-mail-cím, adatvédelmi tisztviselő – ha van) a Szolgáltató foglalási felületén külön közli, és köteles a vendégek részére saját adatkezelési tájékoztatót elérhetővé tenni.

3. Fogalom-meghatározások

A Tájékoztatóban használt fogalmak a GDPR 4. cikke szerinti jelentéssel bírnak. A leggyakrabban használt fogalmak:

Személyes adat: azonosított vagy azonosítható természetes személyre vonatkozó bármely információ.
Érintett: az a természetes személy, akire a személyes adat vonatkozik (jellemzően a Szolgáltatónál regisztráló vagy időpontot foglaló vendég, valamint a Szolgáltató kapcsolattartója).
Adatkezelés: a személyes adatokon végzett bármely művelet (gyűjtés, rögzítés, tárolás, megjelenítés, törlés, továbbítás stb.).
Adatkezelő: aki a személyes adatok kezelésének céljait és eszközeit meghatározza.
Adatfeldolgozó: aki az adatkezelő nevében személyes adatokat kezel (pl. tárhely-szolgáltató).
Hozzájárulás: az érintett önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű akaratnyilvánítása.

4. A kezelt személyes adatok köre, az adatkezelés céljai és jogalapja

4.1. Szolgáltatói regisztráció és fiókkezelés (Üzemeltető adatkezelése)

Kezelt adatok	Cél	Jogalap	Megőrzés
Név, e-mail-cím, jelszó (hash), telefonszám, vállalkozás neve, székhely, adószám	Regisztráció, fiók létrehozása, hitelesítés (bejelentkezés), kapcsolattartás	GDPR 6. cikk (1) b) – szerződés teljesítése	A szerződés megszűnését követő 5 év (Polgári Törvénykönyv általános elévülési idő)
Számlázási adatok (cégnév, székhely, adószám, számlaszám)	Előfizetési díj számlázása, könyvelési kötelezettség teljesítése	GDPR 6. cikk (1) c) – jogi kötelezettség (Sztv., Áfa tv.)	A számla kiállításától számított 8 év (Sztv. 169. §)
Naplóadatok (IP-cím, böngésző, eseményidő, művelettípus)	Biztonsági incidensek észlelése, üzemeltetési hibakeresés	GDPR 6. cikk (1) f) – jogos érdek (rendszerbiztonság)	A naplóbejegyzés keletkezésétől számított legfeljebb 12 hónap

Kezelt adatok: Név, e-mail-cím, jelszó (hash), telefonszám, vállalkozás neve, székhely, adószám
Cél: Regisztráció, fiók létrehozása, hitelesítés (bejelentkezés), kapcsolattartás
Jogalap: GDPR 6. cikk (1) b) – szerződés teljesítése
Megőrzés: A szerződés megszűnését követő 5 év (Polgári Törvénykönyv általános elévülési idő)

Kezelt adatok: Számlázási adatok (cégnév, székhely, adószám, számlaszám)
Cél: Előfizetési díj számlázása, könyvelési kötelezettség teljesítése
Jogalap: GDPR 6. cikk (1) c) – jogi kötelezettség (Sztv., Áfa tv.)
Megőrzés: A számla kiállításától számított 8 év (Sztv. 169. §)

Kezelt adatok: Naplóadatok (IP-cím, böngésző, eseményidő, művelettípus)
Cél: Biztonsági incidensek észlelése, üzemeltetési hibakeresés
Jogalap: GDPR 6. cikk (1) f) – jogos érdek (rendszerbiztonság)
Megőrzés: A naplóbejegyzés keletkezésétől számított legfeljebb 12 hónap

4.2. Vendégek (végfelhasználók) adatai (Szolgáltató adatkezelése)

Az Alkalmazáson keresztül időpontot foglaló vendégek adatai tekintetében a Szolgáltató az adatkezelő; a MADEO Kft. mint Üzemeltető adatfeldolgozóként jár el. Az alábbi táblázat az Üzemeltető által biztosított technológiai keretek között tipikusan kezelt adatokat foglalja össze; a konkrét adatkezelést a Szolgáltató saját tájékoztatója határozza meg.

Kezelt adatok	Cél	Jogalap	Megőrzés
Vendég neve, e-mail-címe, telefonszáma	Időpontfoglalás kezelése, visszaigazolás és emlékeztető küldése	GDPR 6. cikk (1) b) – szerződés teljesítése (foglalás)	A Szolgáltató által meghatározott idő, jellemzően a foglalás napjától számított 1–3 év
Foglalás időpontja, szolgáltatás megnevezése, megjegyzés mező	Szolgáltatás nyújtása, foglalási előzmények nyilvántartása	GDPR 6. cikk (1) b) – szerződés teljesítése	A foglalási előzmény a Szolgáltató döntése szerint kerül megőrzésre
Marketing célú e-mail-cím (ha a vendég ehhez külön hozzájárul)	Hírlevél, ajánlatok küldése	GDPR 6. cikk (1) a) – hozzájárulás	A hozzájárulás visszavonásáig

Kezelt adatok: Vendég neve, e-mail-címe, telefonszáma
Cél: Időpontfoglalás kezelése, visszaigazolás és emlékeztető küldése
Jogalap: GDPR 6. cikk (1) b) – szerződés teljesítése (foglalás)
Megőrzés: A Szolgáltató által meghatározott idő, jellemzően a foglalás napjától számított 1–3 év

Kezelt adatok: Foglalás időpontja, szolgáltatás megnevezése, megjegyzés mező
Cél: Szolgáltatás nyújtása, foglalási előzmények nyilvántartása
Jogalap: GDPR 6. cikk (1) b) – szerződés teljesítése
Megőrzés: A foglalási előzmény a Szolgáltató döntése szerint kerül megőrzésre

Kezelt adatok: Marketing célú e-mail-cím (ha a vendég ehhez külön hozzájárul)
Cél: Hírlevél, ajánlatok küldése
Jogalap: GDPR 6. cikk (1) a) – hozzájárulás
Megőrzés: A hozzájárulás visszavonásáig

5. Igénybe vett adatfeldolgozók és technológiai szolgáltatók

Az Alkalmazás működtetése során az Üzemeltető az alábbi adatfeldolgozókat veszi igénybe. Az adatfeldolgozók kizárólag az Üzemeltetővel kötött szerződés és írásbeli utasítás alapján férhetnek hozzá a személyes adatokhoz, azokat saját céljukra nem használhatják fel.

5.1. Vercel Inc. – tárhely- és alkalmazás-hosting

Szolgáltató: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, Amerikai Egyesült Államok
Tevékenység: az Alkalmazás futtatása, web tárhely-szolgáltatás, CDN, kiszolgálói naplózás
Érintett adatok köre: az Alkalmazás által kezelt összes adat (átmenetileg, kiszolgáló oldalon)
Adatkezelési hely: Európai Unió és Amerikai Egyesült Államok (régió-választástól függően)
Vercel Privacy Policy | DPA

5.2. Neon Inc. – PostgreSQL adatbázis-szolgáltatás

Szolgáltató: Neon Inc., 209 Barton Springs Rd, Austin, TX 78704, Amerikai Egyesült Államok
Tevékenység: felhőalapú PostgreSQL adatbázis-szolgáltatás, az Alkalmazás adatbázisának tárolása
Érintett adatok köre: a Szolgáltatók és vendégek által rögzített összes személyes és foglalási adat
Adatkezelési hely: Európai Unió (Frankfurt) – az Üzemeltető EU-régiót használ
Neon Privacy Policy | DPA

5.3. Resend Inc. – tranzakciós e-mail kiszolgálás

Szolgáltató: Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, Amerikai Egyesült Államok
Tevékenység: foglalási visszaigazoló és emlékeztető e-mailek, rendszerértesítések kiküldése
Érintett adatok köre: a címzett neve, e-mail-címe, az e-mail tartalma (foglalási részletek)
Adatkezelési hely: Európai Unió és Amerikai Egyesült Államok
Resend Privacy Policy | DPA

6. Adattovábbítás harmadik országba

Egyes adatfeldolgozók (Vercel, Resend) székhelye az Amerikai Egyesült Államokban található, így személyes adatok az Európai Gazdasági Térségen kívülre továbbításra kerülhetnek. A GDPR 44–49. cikkei szerinti megfelelő garanciát az alábbi mechanizmusok biztosítják:

EU–U.S. Data Privacy Framework (DPF): amennyiben az adott szolgáltató DPF-tanúsított, az Európai Bizottság 2023/1795 sz. megfelelőségi határozata alapján a továbbítás megfelelő szintű védelmet élvez.
Általános Adatvédelmi Szerződési Feltételek (SCC): a 2021/914/EU bizottsági végrehajtási határozat szerinti standard szerződési feltételek, amelyek a szolgáltatóval kötött DPA (Data Processing Agreement) részét képezik.
További technikai és szervezési intézkedések: titkosítás átvitel közben (TLS) és nyugalmi állapotban (encryption at rest), hozzáférés-szabályozás, naplózás.

7. Adatbiztonsági intézkedések

Az Üzemeltető a GDPR 32. cikkének megfelelően megfelelő technikai és szervezési intézkedéseket alkalmaz a személyes adatok védelme érdekében, különösen:

HTTPS/TLS titkosítás minden adatátvitel során;
az adatbázisban tárolt jelszavak egyirányú hash-elése (bcrypt vagy azzal egyenértékű algoritmus);
szerepkör-alapú hozzáférés-vezérlés (RBAC), legkisebb jogosultság elve;
rendszeres biztonsági mentések, dokumentált helyreállítási eljárás;
biztonsági naplózás és anomália-figyelés;
rendszeres szoftverfrissítés és függőség-kezelés;
adatvédelmi incidens esetén a GDPR 33–34. cikke szerinti eljárásrend (72 órán belüli bejelentés a NAIH felé).

8. Az érintettek jogai

A GDPR 12–22. cikkei alapján az érintettek az alábbi jogokat gyakorolhatják:

Tájékoztatáshoz való jog (GDPR 13–14. cikk) – jelen Tájékoztatón keresztül.
Hozzáférési jog (GDPR 15. cikk) – másolat kérése a kezelt adatokról.
Helyesbítéshez való jog (GDPR 16. cikk) – pontatlan adatok kijavítása.
Törléshez való jog („elfeledtetéshez való jog") (GDPR 17. cikk) – az adatok törlése a feltételek fennállása esetén.
Korlátozáshoz való jog (GDPR 18. cikk) – adatkezelés ideiglenes korlátozása.
Adathordozhatósághoz való jog (GDPR 20. cikk) – géppel olvasható formátumú másolat.
Tiltakozás joga (GDPR 21. cikk) – jogos érdeken alapuló adatkezelés esetén.
Hozzájárulás visszavonásának joga (GDPR 7. cikk (3) bek.) – hozzájáruláson alapuló adatkezelés esetén bármikor.
Automatizált döntéshozatallal kapcsolatos jogok (GDPR 22. cikk) – az Üzemeltető profilalkotást vagy automatizált döntéshozatalt nem alkalmaz.

8.1. Az érintetti kérelmek benyújtása

Az Üzemeltető által kezelt adatok vonatkozásában a kérelmeket a vrana.zoltan@gmail.com e-mail-címen lehet benyújtani. A Szolgáltató által kezelt vendég-adatok vonatkozásában a kérelmeket közvetlenül a Szolgáltatóhoz kell intézni; ha a kérelem mégis az Üzemeltetőhöz érkezik, azt indokolatlan késedelem nélkül továbbítjuk a Szolgáltatónak.

Az Üzemeltető a kérelem beérkezésétől számított legfeljebb 1 hónapon belül tájékoztatja az érintettet a megtett intézkedésekről. Indokolt esetben ez a határidő további két hónappal meghosszabbítható, amelyről az érintett értesítést kap.

9. Sütik (cookie-k) használata

Az Alkalmazás működéséhez szükséges, technikailag elengedhetetlen sütiket („essential cookies") használ, jellemzően:

Munkamenet-süti (session cookie): a bejelentkezett felhasználó azonosításához, a fiók-állapot fenntartásához. Élettartam: a böngésző bezárásáig vagy a kijelentkezésig.
CSRF-token: a kérések biztonsága érdekében, oldalak közötti kéréshamisítás (CSRF) elleni védelem.

Ezek a sütik a GDPR 6. cikk (1) f) pontja (jogos érdek: az Alkalmazás biztonságos működése) és az Elker. tv. 13/A. §-a alapján kerülnek elhelyezésre, ehhez külön hozzájárulás nem szükséges. Marketing-, hirdetési vagy analitikai sütiket az Üzemeltető jelenleg nem használ; ha ez a jövőben megváltozik, a Tájékoztató frissítésre kerül, és a sütik telepítését megelőzően sütibanneren keresztül hozzájárulást kérünk.

10. Adattovábbítás hatóságok felé

Az Üzemeltető jogszabályi kötelezettség alapján a hatáskörrel rendelkező hatóságok (pl. NAIH, NAV, bíróság, rendőrség) számára személyes adatokat továbbíthat, a megkeresésben meghatározott körben és módon.

11. Jogorvoslat, panasz benyújtása

Ha az érintett úgy ítéli meg, hogy az adatkezelés a GDPR rendelkezéseit sérti, jogorvoslatért az alábbiakhoz fordulhat:

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

Cím: 1055 Budapest, Falk Miksa utca 9–11.
Postacím: 1363 Budapest, Pf. 9.
Telefon: +36 (1) 391-1400
E-mail: ugyfelszolgalat@naih.hu
Honlap: https://naih.hu

Az érintett jogainak megsértése esetén bírósághoz is fordulhat. A perre a törvényszék az illetékes; az érintett választása szerint a per a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható.

12. A Tájékoztató módosítása

Az Üzemeltető fenntartja a jogot a Tájékoztató egyoldalú módosítására, különösen jogszabályi változás vagy az Alkalmazás funkcionalitásának változása esetén. A módosított Tájékoztató a közzétételével lép hatályba. Lényeges változás esetén az Üzemeltető az érintetteket e-mailben vagy az Alkalmazáson belüli értesítés útján külön tájékoztatja.

A Tájékoztató mindenkor hatályos változata az alábbi címen érhető el: https://mybooker.hu/adatkezeles

— A Tájékoztató vége —